AWS導入支援・クラウド運用代行 スカイアーチネットワークス

Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起

平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、
誠に有難う御座います。

Movable Typeにて脆弱性情報が公開されました。
脆弱性情報と対応に関して下記の通り報告させて頂きます。

Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210047.html

本脆弱性を突いた攻撃につきましては世界的にも流行しており、コンテンツ改ざん等の被害が多数発生しております。
弊社としても緊急性が高い事象と判断しご報告させて頂きます。

I. 概要

2021年10月20日、シックス・アパート株式会社は、Movable TypeのXMLRPC APIにおけるOSコマンドインジェクションの脆弱性(CVE-2021-20837)に関する情報を公開しました。本脆弱性が悪用された場合、遠隔の第三者が、任意のOSコマンドを実行する可能性があります。

シックス・アパート株式会社
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

影響を受けるMovable Typeを使用している場合、シックス・アパート株式会社が公開している情報を確認し、速やかに対策を適用することを推奨します。

更新: 2021年11月5日追記
JPCERT/CCは、2021年10月26日に本脆弱性を実証するコード(PoC)が公開されていることを確認しています。また、株式会社ラックによると、10月27日から脆弱性の有無を調べる通信が、11月1日には脆弱な環境に不審ファイルを配置することを目的とした通信がそれぞれ観測されており、実際にファイルが配置される事例も確認されているとのことです。
影響を受けるバージョンを利用されている場合は、速やかに対策を適用することとあわせて、株式会社ラックが公開している情報をもとに攻撃の有無を調査することを推奨します。

株式会社ラック
【注意喚起】Movable Typeの脆弱性を狙う悪質な攻撃を観測、至急対策を!
https://www.lac.co.jp/lacwatch/alert/20211102_002780.html

更新: 2021年11月9日追記
2021年10月22日、アルファサード株式会社から本脆弱性について対策したPowerCMSのパッチが公開されました。PowerCMSは、Movable Typeをベースとした製品であり、本脆弱性の影響を受ける可能性があるため、アルファサード株式会社が公開している情報を確認し、速やかに対策を適用することを推奨します。

アルファサード株式会社
PowerCMS 5.19 / 4.49 / 3.295 向けパッチについて (XMLRPC API における OS コマンド・インジェクションの脆弱性対策)
https://www.powercms.jp/news/release-patch-xmlrpc-api-202110.html

II. 対象

次のバージョンのMovable Typeが本脆弱性の影響を受けます。

  • Movable Type 7 r.5002およびそれ以前(Movable Type 7系)
  • Movable Type 6.8.2およびそれ以前(Movable Type 6系)
  • Movable Type Advanced 7 r.5002およびそれ以前(Movable Type Advanced 7系)
  • Movable Type Advanced 6.8.2およびそれ以前(Movable Type Advanced 6系)
  • Movable Type Premium 1.46およびそれ以前
  • Movable Type Premium Advanced 1.46およびそれ以前

開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。

III. 対策

シックス・アパート株式会社から本脆弱性を修正した次のバージョンが公開されています。速やかに対策の実施をご検討ください。

  • Movable Type 7 r.5003(Movable Type 7系)
  • Movable Type 6.8.3(Movable Type 6系)
  • Movable Type Advanced 7 r.5003(Movable Type Advanced 7系)
  • Movable Type Advanced 6.8.3(Movable Type Advanced 6系)
  • Movable Type Premium 1.47
  • Movable Type Premium Advanced 1.47

IV. 回避策

本脆弱性への早期対策実施が難しい場合、脆弱性を悪用する攻撃の影響を軽減するため、シックス・アパート株式会社より回避策が公開されています。詳しくは、シックス・アパート株式会社が提供する情報をご確認ください。

V. 参考情報

シックス・アパート株式会社
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

Japan Vulnerability Notes JVN#41119755
Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN41119755/

 

 

対応策として最新バージョンへのバージョンアップが必要となります。
Movable Typeをご利用のお客様につきましては、バージョン確認の上、バージョンアップをお客様にて実施をご検討ください。

なお、Movable Typeにつきましてはコンテンツ範囲になるため弊社側で管理しておりませんので、アップデートや、バージョンの確認等の対応は出来かねます。大変恐れ入りますがご了承ください。

お客様にて作業を行われる場合、弊社にて監視している環境でのアラートを検知する可能性があります為、事前に作業を行う旨をsupport@skyarch.netへご連絡下さいます様、お願い申し上げます。

備考

最終更新日 2021.11.18

お気軽にご相談ください

03-6743-1100

平日10:00 - 18:00 ※祝日は除く

スカイアーチネットワークスは、AWS アドバンストティアサービスパートナーです

  • AWS アドバンストティアサービスパートナー
  • AWS レベル1 MSSP コンピテンシー
  • AWS MSPパートナープログラム
  • AWS Well-Architected パートナープログラム
  • AWS 公共部門パートナープログラム
  • AWS ソリューションプロバイダー
  • AWS 公共部門ソリューションプロバイダー
  • AWS トレーニングパートナー
  • AWS サービスデリバリープログラム Amazon DynamoDB
  • AWS サービスデリバリープログラム Amazon CloudFront
  • APN Immersion Days
  • aws 400 CERTIFIED
  • 2023 Japan AWS Ambassadors
  • 2023 Japan Top Engineers
  • 2023 Japan All Certifications Engineers